隨著公司成長，需要的工具越來越多，而隨工具的增加，警報和流程中斷也就越來越多。很快，每套系統(tǒng)和工具發(fā)出的警報，聽起來就像是一場喧囂的酒會，大家都在談?wù)摳髯圆煌脑掝}。因此，安全和運維團隊正在逐漸喪失對警報的敏感度，甚至系統(tǒng)標(biāo)出真正異常的活動，也有可能因警報疲勞而被無視掉。

[[173534]]

你需要的，是唱詩班一樣和諧悅耳的警報，一切協(xié)調(diào)運作，只有真正的事件出現(xiàn)才會發(fā)出高音。那么，要怎么達到這種境界呢?Threat Stack 工程副總裁克里斯·杰維斯，以及VictorOps，提供了避免警報疲勞的七種方法。

1. 讓所有警報都具備上下文環(huán)境和可操作性

篩選無上下文無意義的警報來確定行動進程是十分疲憊的。有效警報需要具備兩個關(guān)鍵特性：

• 上下文：來自匹配整個系統(tǒng)的數(shù)據(jù)點以描繪出完整視圖，包括運行手冊、圖表、日志、注釋，以及解決問題有關(guān)的任何其他細節(jié)。
• 源細節(jié)：指向問題源頭和系統(tǒng)內(nèi)受影響的任何其他區(qū)域，以便能從根源解決問題。

2. 減少冗余警報

很明顯，不停接到同一個問題的警報無疑是毫無效率的，尤其是在問題甚至都不稱之為問題的時候。這是導(dǎo)致警報疲勞的***因素之一。無論是常規(guī)工程工作出發(fā)的警報，還是第三方App引起的不必要警報，都無關(guān)緊要：這些實例全都會導(dǎo)致警報疲勞。精確調(diào)整每個工具的報警協(xié)議，可以減少和合并警報。甚至更好的是，將所有安全功能整合到單一平臺，可以統(tǒng)一警報配置和產(chǎn)生。

3. 為警報指定單一源或時間線

每個工具都發(fā)送自己的警報(多半直接發(fā)送到你的郵箱)，讓連點成線發(fā)現(xiàn)真正的問題變得十分困難——即便真的在郵件堆中對這些警報投以關(guān)注。不能依賴郵件警報作為單一的真相來源。采用Slack之類開放式通信頻道無縫銜接警報，提供團隊范圍的可見性，允許開放討論以解決問題的做法，要好得多。

無縫銜接安全功能(威脅情報、漏洞管理、亞馬遜云追蹤服務(wù)CloudTrail等等)到單一平臺，同樣可以統(tǒng)一整合安全警報。

4. 調(diào)整異常檢測閾值

受日常忙碌所累，很多團隊都忘了定期精調(diào)基準(zhǔn)線。這導(dǎo)致了更多的無用警報，讓警報疲勞進一步惡化。解決掉***的噪音警報是個不錯的開始，但更好的解決方案，是使用能隨時間從系統(tǒng)基線中學(xué)習(xí)的工具，可隨公司擴張自行調(diào)整，讓安全團隊無需手動調(diào)整。

5. 確保警報發(fā)給正確的人/團隊

隨著團隊成長突然出現(xiàn)的另一個問題，是確保團隊每一個人都能收到相應(yīng)的警報以做出動作。作為持續(xù)改進過程的一部分，應(yīng)讓每個團隊成員來決定自己收到警報的方式、頻率和主題。

6. 定制個人通知/尋呼

工程師和運維人員被深夜呼叫來處理根本不嚴(yán)重的警報已經(jīng)司空見慣。這不僅僅會讓團隊疲憊，甚至?xí)屗麄儾辉傧嘈湃臻g警報!所以，應(yīng)確保只有高嚴(yán)重性警報會觸發(fā)“深夜呼叫”。其他所有警報可以等第二天一早來處理。

7. 定期審查和調(diào)整

上述6條建議不應(yīng)只是一次性的工作;你得定期重審以確保系統(tǒng)正常運行。下面幾個問題，是在事后分析和定期團隊會議上應(yīng)該向團隊提出的：

• 警報信噪比調(diào)整全隊皆知了嗎?
• 警報精調(diào)是持續(xù)改進過程中的一部分嗎?
• 團隊被授權(quán)自行安排工作優(yōu)先級和處理警報疲勞相關(guān)因素了嗎?
• 上報流程是明智有效的嗎?
• 能集成更多的數(shù)據(jù)到警報中以提供合適的上下文來決策嗎?